Nội dung được dịch bởi AI, chỉ mang tính chất tham khảo
Một khung công tác cho việc đánh giá mở rộng các chính sách ABAC
Tóm tắt
Một thách thức chính của kiểm soát truy cập dựa trên thuộc tính (ABAC) là việc xử lý thông tin thiếu sót. Nhiều nghiên cứu đã chỉ ra rằng cách thức mà các cơ chế ABAC tiêu chuẩn, chẳng hạn như dựa trên XACML, xử lý thông tin thiếu sót là không hoàn hảo, khiến cho các chính sách ABAC dễ bị tấn công ẩn thuộc tính. Các công trình gần đây đã giải quyết vấn đề thông tin thiếu sót trong ABAC bằng cách giới thiệu khái niệm đánh giá mở rộng, trong đó việc đánh giá một truy vấn sẽ xem xét tất cả các truy vấn có thể được thu nhận bằng cách mở rộng truy vấn ban đầu. Phương pháp này giúp chống lại các cuộc tấn công ẩn thuộc tính, nhưng một cách triển khai đơn giản thì không khả thi, vì nó yêu cầu đánh giá toàn bộ không gian truy vấn. Trong bài báo này, chúng tôi trình bày một khung cho việc đánh giá mở rộng các chính sách ABAC. Khung này dựa vào cấu trúc dữ liệu Biểu đồ Quyết định Nhị phân (BDDs) để tính toán hiệu quả việc đánh giá mở rộng các chính sách ABAC. Chúng tôi cũng giới thiệu khái niệm các ràng buộc truy vấn và sức mạnh giá trị thuộc tính để tránh đánh giá các truy vấn không đại diện cho trạng thái hợp lệ của hệ thống và xác định các giá trị thuộc tính nào nên được xem xét trong sự tính toán của việc đánh giá mở rộng, tương ứng. Chúng tôi minh họa khung của mình bằng ba chính sách thực tế, mà sẽ không khả thi với phương pháp ban đầu nhưng lại được phân tích trong vài giây bằng khung của chúng tôi.
Từ khóa
#ABAC #đánh giá mở rộng #thông tin thiếu sót #tấn công ẩn thuộc tính #Biểu đồ Quyết định Nhị phânTài liệu tham khảo
Bahrak, B, Deshpande A, Whitaker M, Park J (2010) BRESAP: A Policy Reasoner for Processing Spectrum Access Policies Represented by Binary Decision Diagrams In: Proceedings of Symposium on New Frontiers in Dynamic Spectrum, 1–12.. IEEE.
Banzhaf, JF (1966) Multi-Member Electoral Districts. Do They Violate the “One Man, One Vote” Principle. Yale Law J 75(8):1309–1338.
Barrett, C, Conway CL, Deters M, Hadarean L, Jovanović D, King T, Reynolds A, Tinelli C (2011) CVC4 In: Proceedings of International Conference on Computer Aided Verification, LNCS, vol 6806, 171–177.. Springer, Berlin.
Bryant, RE (1992) Symbolic Boolean Manipulation with Ordered Binary-Decision Diagrams. ACM Comput Surv 24(3):293–318.
Crampton, J, Huth M (2010) An authorization framework resilient to policy evaluation failures, LNCS, vol 6345 In: Computer Security, 472–487.. Springer, Berlin.
Crampton, J, Morisset C (2012) PTaCL: A Language for Attribute-Based Access Control in Open Systems, LNCS, vol 7215 In: Principles of Security and Trust, 390–409.. Springer, Berlin.
Crampton, J, Morisset C, Zannone N (2015) On missing attributes in access control: Non-deterministic and probabilistic attribute retrieval In: Proceedings of Symposium on Access Control Models and Technologies, 99–109.. ACM, New York.
Crampton, J, Williams C (2016) On completeness in languages for attribute-based access control In: Proceedings of Symposium on Access Control Models and Technologies, 149–160.. ACM, New York.
Dolski, S, Huonder F, Oberholzer S (2007) HERAS-AF: XACML 2.0 Implementation. Tech. rep., University of Applied Sciences Rapperswil.
Fisler, K, Krishnamurthi S, Meyerovich L, Tschantz M (2005) Verification and change-impact analysis of access-control policies In: Proceedings of International Conference on Software Engineering, 196–205.. ACM, New York.
Hu, H, Ahn G, Kulkarni K (2013) Discovery and Resolution of Anomalies in Web Access Control Policies. IEEE Trans Dependable Secure Comput 10(6):341–354.
Kaluvuri, SP, Egner AI, den Hartog J, Zannone N (2015) SAFAX - an extensible authorization service for cloud environments. Front ICT 2.
Liu, A, Chen F, Hwang J, Xie T (2011) Designing fast and scalable XACML policy evaluation engines. IEEE Trans Comput 60(12):1802–1817.
Morisset, C, Willemse TAC, Zannone N (2018) Efficient extended ABAC evaluation In: Proceedings of Symposium on Access Control Models and Technologies, 149–160.. ACM, New York.
Morisset, C, Zannone N (2014) Reduction of access control decisions In: Proceedings of Symposium on Access Control Models and Technologies, 53–62.. ACM, New York.
OASIS (2005) eXtensible Access Control Markup Language (XACML) Version 2.0. OASIS Standard.
OASIS (2013) eXtensible Access Control Markup Language (XACML) Version 3.0. OASIS Standard.
Rudell, R (1993) Dynamic variable ordering for ordered binary decision diagrams In: Proceedings of International Conference on Computer Aided Design, 42–47.. IEEE, Los Alamitos.
Srinivasan, A, Ham T, Malik S, Brayton RK (1990) Algorithms for discrete function manipulation In: Proceedings of International Conference on Computer-Aided Design, 92–95.. IEEE.
Tschantz, M, Krishnamurthi S (2006) Towards reasonability properties for access-control policy languages In: Proceedings of Symposium on Access Control Models and Technologies, 160–169.. ACM, New York.
Turkmen, F, den Hartog J, Ranise S, Zannone N (2017) Formal analysis of XACML policies using SMT. Comput Secur 66:185–203.
Zhang, N, Ryan M, Guelev D (2005) Evaluating access control policies through model checking, LNCS, vol 3650 In: Information Security, 446–460.. Springer, Berlin.